Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 UNIVERSIDAD NACIONAL DE CATAMARCA Facultad de Ciencias Económicas y de Administración Evento: XXXIX SIMPOSIO DE PROFESORES DE PRÁCTICA PROFESIONAL 14 Y 15 de Septiembre de 2017 Institución a la cual pertenece: Universidad de Buenos Aires Universidad del Salvador Título del Trabajo: Concientización y capacitación del educando en la criticidad de la información contable en el ámbito de la práctica profesional Autor: Diego Sebastián Escobar Área: Actualización de contenidos programáticos 2 XXXIX SIMPOSIO DE PROFESORES DE PRÁCTICA PROFESIONAL 14 Y 15 de septiembre de 2017 Universidad Nacional de Catamarca Facultad de Ciencias Económicas y de Administración Institución a la cual pertenece: Universidad de Buenos Aires - Universidad del Salvador Título del Trabajo: Concientización y capacitación del educando en la criticidad de la información contable en el ámbito de la práctica profesional Autor: Diego Sebastián Escobar Área: Actualización de contenidos programáticos RESUMEN En el año 2012, el Consejo de Decanos de Facultades de Ciencias Económicas de Universidades Nacionales (CODECE) en su documento base para la acreditación de la carrera de Contador Público ha definido que “el objeto de su profesión es la "información" en todas sus formas, sea la misma generada dentro de las organizaciones, interactuando éstas entre sí o en su vinculación con el contexto”. Al analizar las incumbencias profesionales y la práctica profesional, el contador público interactúa con diversos entes, extrae datos de sistemas, los analiza y realiza informes de para dar cumplimiento normativo, como también participa en el almacenamiento, procesamiento, control y resguardo de los Registros Contables. Y contextualizando el entorno actual, en donde la información en las organizaciones es considerada uno de los activos intangibles más importantes en su patrimonio, deberían impartirse los conceptos claves para que los educandos universitarios aprehendan los conocimientos y prácticas que le permitan protegerla. El presente trabajo tiene el objetivo de identificar metodologías de clasificación de la información contable en el ámbito de la práctica profesional; como también proponerlo como una de las competencias transversales en la formación académica y profesional de acuerdo con los desafíos actuales y futuros de la profesión. 3 CONCIENTIZACIÓN Y CAPACITACIÓN DEL EDUCANDO EN LA CRITICIDAD DE LA INFORMACIÓN CONTABLE EN EL ÁMBITO DE LA PRÁCTICA PROFESIONAL 1. Introducción En el año 2012, el Consejo de Decanos de Facultades de Ciencias Económicas de Universidades Nacionales (CODECE) en su documento base para la acreditación de la carrera de Contador Público ha definido que “el objeto de su profesión es la "información" en todas sus formas, sea la misma generada dentro de las organizaciones, interactuando éstas entre sí o en su vinculación con el contexto”1. Al analizar las incumbencias profesionales y la práctica profesional, el contador público interactúa con diversos entes, extrae datos de sistemas, los analiza y realiza informes de para dar cumplimiento normativo, como también participa en el almacenamiento, procesamiento, control y resguardo de los Registros Contables. Y contextualizando el entorno actual, en donde la información en las organizaciones es considerada uno de los activos intangibles más importantes en su patrimonio, deberían impartirse los conceptos claves para que los educandos universitarios aprehendan los conocimientos y prácticas que le permitan protegerla. El presente trabajo tiene el objetivo de identificar metodologías de clasificación de la información contable en el ámbito de la práctica profesional; como también proponerlo como una de las competencias transversales en la formación académica y profesional de acuerdo con los desafíos actuales y futuros de la profesión. 2. Modelización de la criticidad de la información Considerando las necesidades profesionales y las mejores prácticas y normas legales presentes en la República Argentina para el análisis de la información contable existente en los entes, se pueden identificar los siguientes dos modelos en el campo de la seguridad de la información: Esquema N° 1: Modelización de la criticidad de la información. Fuente: Elaboración propia. 1 Consejo de Decanos de Facultades de Ciencias Económicas de Universidades Nacionales. “Estatuto” diciembre de 2015. Accedido http://www.codece.com.ar/docs/Estatuto01072011.pdf Modelo de clasificación basado en la Serie ISO 27.000 en el modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. Modelo de clasificación basada en la Ley de Habeas Data Ley número 25.326. 4 2.1. Modelo de clasificación basado en la serie ISO 27.000 El Modelo de clasificación basado en la serie ISO 27.000 y en el modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional, adaptado a todo tipo de entes, establece que los activos de información deben clasificarse de acuerdo con los principios básicos de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad, siempre y cuando la dimensión aplique al nivel de activo analizado. Niveles de clasificación según la Integridad de la Información: Se establecen 4 niveles para clasificar la información contenida en relación con la integridad: Esquema N° 2: Clasificación según la Integridad. Fuente: Elaboración propia basado en la Modelo publicado por la ONTI2. 2 Modelo de Política de Seguridad de la Información. El mismo fue redactado por la ONTI con la asistencia de especialistas. Accedido por www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf • 0 - Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operatoria del ente. Baja • 1 - Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves para el ente o terceros. Normal • 2 - Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas para el ente o terceros. Moderada • 3 - Información cuya modificación no autorizada no podría repararse, ocasionando pérdidas graves al ente o a terceros. Crítica 5 Niveles de clasificación según la Confidencialidad de la Información: Se establecen 4 niveles para clasificar la información contenida en relación con la confidencialidad: Esquema N° 3: Clasificación según la Confidencialidad. Fuente: Elaboración propia basado en la Modelo publicado por la ONTI3. 3 Ídem nota n° 2. • 0 - Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado del ente o no. Información Pública • 1 - Información que puede ser conocida y utilizada por todos los empleados del ente y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves para el ente, el Sector Público Nacional o terceros. Información Reservada o de uso interno • 2 - Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas al ente o a terceros. Información Reservada o Confidencial • 3 - Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta dirección del ente, y cuya divulgación o uso no autorizados podría ocasionar pérdidasgraves al mismo o a terceros. Información Secreta 6 Niveles de clasificación según la Disponibilidad de la Información: También se establecen 4 niveles para clasificar la información contenida en relación con la disponibilidad: Esquema N° 4: Clasificación según la Disponibilidad. Fuente: Elaboración propia basado en la Modelo publicado por la ONTI4. En base a este análisis de cada uno de los activos de información analizados debemos realizar la suma algebraica de los tres términos analizados. En base a esta metodología, se debe analizar y establecer los umbrales para establecer la criticidad. En modo de ejemplo se presenta el siguiente esquema de criticidad: 4 Ídem nota n° 2. • 0 - Información cuya inaccesibilidad no afecta la operatoria del ente. Baja • 1 - Información cuya inaccesibilidad permanente durante .............. (definir un plazo no menor a una semana) podría ocasionar pérdidas significativas para el ente o terceros. Media • 2 - Información cuya inaccesibilidad permanente durante .............. (definir un plazo no menor a un día) podría ocasionar pérdidas significativas al ente o a terceros. Alta • 3 - Información cuya inaccesibilidad permanente durante .............. (definir un plazo no menor a una hora) podría ocasionar pérdidas significativas al ente o a terceros. Inmediata 7 Esquema N° 5: Criticidad de la información. En donde nos arrojaría como resultado el posicionamiento de la información ordenada desde la más crítica a la menos crítica, acorde a la clasificación de la misma. 2.2. Clasificación dispuesta por la Ley número 25.326 El principal objetivo de la ley de referencia es la “protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.”5 La citada normativa y las Disposiciones de la Dirección Nacional de Protección de Datos Personales, “han establecido una clasificación a los mismos, en Datos Básicos, Intermedios y Sensibles”6. 5 Escobar, D. S., Ley de Protección de Datos Personales, Revista Imagen Profesional, de La Federación Argentina de Consejos Profesionales en Ciencias Económicas, 2010. 6 Suarez Kimura E.B. y Escobar, D. S., Repercusiones de La Ley De Protección de Datos Personales en el Ejercicio Profesional del Contador Público, en el XXXII Simposio Nacional de Profesores de Práctica Profesional del Contador. Septiembre, 2010. Facultad de Humanidades, Ciencias Sociales y de la Salud, Universidad Nacional de Santiago del Estero. CRITICIDAD ALTA Superior a 7 puntos. CRITICIDAD MEDIA Entre 4 y 7 puntos. CRITICIDAD BAJA Menor a 4 puntos. 8 Esquema Nº 6: Clasificación de Datos Personales. Fuente: Elaboración propia. 1. Los datos considerados básicos, corresponden a los existentes en el padrón electoral. Entre ellos encontramos al Número de Identidad, Nombre y Apellido, CUIT, CUIL, Domicilio, Fecha de Nacimiento, entre otros. 2. Los datos Intermedios son los que superan a los básicos y no son sensibles. Por ejemplo, estado civil, ingresos y egresos, etc. 3. Los datos sensibles son datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Con respecto a la categoría de los datos, el artículo número 7 de la Ley establece que: Tratamiento de los datos personales. 1. “Ninguna persona puede ser obligada a proporcionar datos sensibles”. 2. “Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares”. 3. “Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros”. 4. “Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas”. Fuente: Según lo establecido en el artículo N° 7 de la Ley.7 7 Ley N° 25326, Ley de Habeas Data, Artículo N° 7, Boletín oficial de la República Argentina, Buenos Aires. 30 de octubre de 2000. Datos Básicos Datos Intermedios Datos sensibles 9 Considerando la presente normativa, la documentación contable analizada por el Contador Público en las organizaciones (en el caso en que incluyan datos personales), deberá ser clasificada considerando sus datos contenidos, como también se debe cumplir con las medidas de seguridad pertinentes. Generalmente, la información contenida en los comprobantes y documentación de comercio con la identificación de los clientes o proveedores es considerada intermedia porque con los datos contenidos en los mismos se pueden determinar el ingreso y el consumo de los mismos, sus gustos y preferencias por productos o marcas, entre otras cosas. En el caso de las bases de datos con información de sus empleados, están conformados por datos intermedios y sensibles, que son utilizados para confeccionar declaraciones juradas, aportes y contribuciones, asignaciones familiares, entre otros. Como se aclaró precedentemente, en las organizaciones existen numerosas bases de datos con la información personal para confeccionar diversos informes, que tendrían que estar registradas en la Dirección Nacional de Protección de Datos Personales. No se debería considerar únicamente como una obligación, sino también como una ventaja competitiva en el manejo de la información. 10 3. Conclusiones El mercado mundial presenta un innegable conjunto de desafíos que están relacionados con la profesión. El avance de las tecnologías de la información en las organizaciones impacta en la práctica profesional en la implementación, gestión, planificación, mejora y control de los sistemas contables. Las metodologías más utilizadas en la práctica profesional para clasificar la información surgen de la serie de las ISO 27.000 en donde se analiza la criticidad teniendo en cuenta la disponibilidad, confidencialidad e integridad de los datos y en base a ese análisis se cuantifica la información. Otra de las formas es la establecida por la ley de Habeas Data y las Disposiciones de la Dirección Nacional de Protección de Datos Personales, en donde se clasifica a la información teniendo en cuenta si existen datos personales y si esos mismos contienen datos básicos, intermedios o sensibles. Independientemente de la especialización en la que se dedique el futuro educando, en la asignatura de práctica profesional se debería impartir una concientización sobre la criticidad de la información que se está analizando, contemplando el rol y las necesidades del negocio, pero con una visión de los riesgos innecesarios que se pueden evitar. En este contexto, hay que considerar la necesidad de inculcar a los futuros profesionales sobre la responsabilidad y la ética en el uso de la información en la práctica profesional. La universidad no debe estar ajena a estos cambios y los docentes e investigadores deben propiciar las actualizaciones necesarias para la formación de los educandos.11 4. Bibliografía Consejo de Decanos de Facultades de Ciencias Económicas de Universidades Nacionales. “Estatuto” diciembre de 2015. Accedido http://www.codece.com.ar/docs/Estatuto01072011.pdf Escobar, D. S., Ley de Protección de Datos Personales, Revista Imagen Profesional, de La Federación Argentina de Consejos Profesionales en Ciencias Económicas, 2010. International Organization for Standardization -International Electrotechnical Commission. (2013), ISO/IEC 27.001 Information technology -Security techniques - Information security management systems -Requirements. Edición Digital. Ley N° 25326, Ley de Habeas Data, Artículo N° 7, Boletín oficial de la República Argentina, Buenos Aires. 30 de octubre de 2000. Modelo de Política de Seguridad de la Información. El mismo fue redactado por la ONTI con la asistencia de especialistas. Accedido por www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf Suarez Kimura E.B. y Escobar, D. S., Repercusiones de La Ley De Protección de Datos Personales en el Ejercicio Profesional del Contador Público, en el XXXII Simposio Nacional de Profesores de Práctica Profesional del Contador. Septiembre, 2010. Facultad de Humanidades, Ciencias Sociales y de la Salud, Universidad Nacional de Santiago del Estero.
Compartir